风险评鉴与管理程序书.docVIP

  • 7
  • 0
  • 约2.19千字
  • 约 9页
  • 2016-04-12 发布于重庆
  • 举报
风险评鉴与管理程序书

新民高級中學 風險評鑑管理程序書 機密等級:限閱 文件編號:-B-004 版 次:1.0 發行日期:2009/0/05 修 訂 紀 錄 版次 修訂日期 修訂頁次 修訂者 修訂內容摘要 1.0 2009/0/05 賴信安 初版 目錄 1 目的 1 2 適用範圍 1 3 權責 1 4 名詞定義 1 5 作業說明 2 6 相關文件 5 目的 建立(以下簡稱)資訊安全管理制度(以下簡稱ISMS)風險評鑑與管理規範,提供資訊資產之權責單位、保管單位使用單位,共同遵行之風險評鑑標準,有效執行風險控管,預防資訊安全事件之威脅。 適用範圍 資訊業務作業流程之風險管理。 權責 資訊安全委員會:負責可接受風險值、風險評鑑結果、風險改善計畫與控制措施。 資訊安全小組: 負責相關資訊資產風險評鑑結果,並針對風險值超過可接受風險值之資訊資產,採取適當之控管措施,及產出「風險改善計畫表」。 權責單位主管: 負責所屬單位業務範圍之風險評鑑結果審核作業。 資訊資產權責單位: 負責執行資訊資產之威脅與弱點評估、風險值計算等程序項目。 名詞定義 機密性 (Confidentiality)確保授權人可存取資訊。 完整性 (Integrity)確保資訊與處理方法的正確性與完整性。 可用性 (Availability)確保經授權的使用者在需要時可以取得資訊及相關資產。 可接受風險值各類資訊資產之最低風險容忍度。 殘餘風險 (Residual Risk)在採用相關控制措施之後剩餘的風險。 威脅 (Threat)可能對系統或組織造成傷害之意外事件。 弱點 (Vulnerability)因資訊資產本身狀況或所處環境之下,可能受到威脅利用而造成資產受到損害之因子。 風險 (Risk)可能對團體或組織的資產發生損失或傷害的潛在威脅,通常利用弱點所產生之影響及發生可能性來衡量。 作業說明 鑑別資產 資訊資產應依據「資訊資產管理程序書」進行鑑別及分類。 鑑別風險 威脅暨弱點評估 威脅成功利用弱點影響資訊資產運作或造成損失的狀況稱為事件。 將資訊資產清單中,各類資訊資產依下列,建立威脅弱點評估表: 人員People / PE):包含因人員有意或無意行為、人力資源管理不當所產生之風險。 文件Document / DC):包含資料、文件之建立、維護、控管、傳遞之不當所產生之風險。軟體Software / SW):包含系統設計、維護、操作之不當所產生之風險。 通訊Communication / CM):包含資料、影像、聲音傳輸媒介失效等所可能產生之風險。硬體Hardware / HW):包含所有硬體設施之失效、損毀等可能風險。 資料Data / DA):儲存於硬碟、磁帶、光碟等儲存媒介之數位資訊。 環境Environment / EV):包含天災、供水、用電、空調等,整體資訊環境,可能發生之風險。 事件發生機率與影響程度評估 依等級對應表表1評估各事件: 表1 事件發生可能性/等級對應表評估標準 每季發生一次 每月發生一次 中 2 每週發生一次 高 依等級對應表表2評估各事件: 表2 等級對應表 評估標準 評估值 該弱點不容易被威脅利用 低 1 中 2 高 3 風險值的計算 評估事件發生機率及影響程度後,計算出風險值。 風險值=(資訊資產價值) 風險評估彙整表 將上述評估資料彙整後產生「風險評彙整表」。 將「風險評彙整表」提交資訊安全小組開會審議。 確認風險評估結果經完成鑑別資產及其相關風險,並產出「風險評彙整表」後,彙整相關綜合風險值,產出「風險評鑑報告」,提供資訊安全小組作為風險管理之依據。 風險管理 可接受風險值的決定 資訊資產之可接受風險值,需經資訊安全小組開會決議,並記載於會議紀錄中。 資訊安全小組每年召開會議檢討可接受風險值。可接受風險考量組織環境及作業之安全需求適當調整。 選擇控制措施 資訊安全小組應檢視「風險評鑑報告」及「風險評彙整表」。若風險值超出可接受風險值之資訊資產,應參考「教育體系資通安全管理規範」選擇適當之控管措施,產出「風險改善計畫表」及「適用性聲明書」,說明風險控管措施之執行辦法。 「風險改善計畫表」應陳報資訊安全委員會開會審核,並列入追蹤管理程序。 風險改善狀況的後續追蹤 對風險改善計畫應彙整控管,持續追蹤改善。 應於各風險改善措施完成後,進行風險再評估,以確保相關改善措施的有效性。 覆核 監控控制措施的實施必須建立相對應的指標或紀錄,以反出控制措施實施的狀況及成效,便於管理階層及相關人員做定期或不定期審視。 持續

文档评论(0)

1亿VIP精品文档

相关文档